Un backdoor di tipo stealer è stato scoperto in tre versioni del pacchetto Node-IPC, mirato agli sviluppatori per rubare segreti. Le versioni 1.0.0, 1.0.1 e 1.0.2 contenevano codice malevolo che estraeva chiavi API, token di accesso e variabili d'ambiente. Il malware operava silenziosamente, inviando dati a un server remoto. Questo incidente espone la vulnerabilità nella catena di fornitura del software.
Analisi tecnica del codice malevolo 🔍
Il codice malevolo si attivava durante l'installazione del pacchetto, eseguendo uno script che raccoglieva informazioni dal sistema infetto. Utilizzava funzioni di Node.js per leggere variabili d'ambiente e file di configurazione, filtrando dati verso un endpoint remoto. Gli aggressori hanno progettato lo stealer per essere furtivo, senza lasciare tracce evidenti nei log. La comunità di sicurezza raccomanda di controllare le dipendenze e utilizzare strumenti di analisi statica per rilevare minacce simili nell'ecosistema npm.
Il regalo a sorpresa che nessuno ha chiesto nel tuo progetto 🎁
Perché certo, ciò di cui ogni sviluppatore ha bisogno è un pacchetto che, oltre a gestire i processi IPC, decida di fare la spia e portarsi via i tuoi token come ricordo. Node-IPC ora offre funzioni premium: installa e fatti rubare le credenziali senza costi aggiuntivi. Se volevi sentirti come in un film di hacker, ce l'hai fatta. La buona notizia è che almeno il pacchetto non ha cancellato il disco rigido, quindi possiamo chiamarlo un regalo moderato.